文章总结: 本文综述本周网络安全事件,包括ScatteredSpider成员被捕、伊朗加密资产遭制裁、ADT数据泄露、TLS协议升级等,重点解析SOC绩效指标误导性问题,指出错误指标会削弱安全能力,建议转向检测质量与威胁狩猎能力,并强调AI加速攻击下的防御自动化需求。 综合评分: 78 文章分类: 安全运营,漏洞分析,威胁情报,政策法规,恶意软件
国外:一周网络安全态势回顾之第148期,错误指标驱动下的安全运营中心失效风险与能力误导问题解析
原创
铸盾安全 铸盾安全
河南等级保护测评
2026年5月2日 08:12 河南
在小说阅读器读本章
去阅读
美国寻求引渡Scattered Spider黑客成员
芬兰警方近日逮捕了一名19岁的黑客Peter Stokes,其被指为臭名昭著的“Scattered Spider”组织核心成员之一,美国已正式提出引渡请求。该组织近年来针对大型企业实施多起高调攻击,主要通过社会工程学手段入侵内部系统。
检方指控Stokes参与多起企业入侵行动,包括凭证窃取、账户接管和数据外泄,其行为涉及电信诈骗、计算机入侵及共谋犯罪等多项罪名。公开信息显示,该组织成员往往在社交媒体上炫耀攻击成果,甚至公开挑衅执法机构,这也成为其被追踪的重要线索之一。
安全研究表明,Scattered Spider的攻击模式以人为突破口,尤其擅长绕过多因素认证机制,例如通过SIM卡交换或“疲劳攻击”诱导用户批准登录请求。这类攻击成本低但成功率高,对企业安全体系构成持续威胁。
此次逮捕被认为是国际执法合作的重要成果,但专家指出,该组织去中心化程度较高,即便核心成员被捕,其战术和工具也可能被其他黑客团体迅速复制和扩散。
伊朗央行加密资产遭美国制裁冻结
美国财政部外国资产控制办公室(OFAC)首次将与伊朗中央银行相关的加密货币钱包列入制裁名单,并联合执法冻结约3.44亿美元USDT资产。
调查显示,这些钱包自2021年以来通过近千笔交易累计约3.7亿美元资金,并被认为与伊朗革命卫队圣城旅及真主党等组织存在关联。这些资产此前大多处于“休眠状态”,被视为潜在的国家级储备资金。
这一行动标志着加密货币正式成为国家制裁体系的重要组成部分。相较传统金融体系,加密资产的匿名性和跨境流动性曾被认为难以监管,但近年来区块链分析能力的提升,使执法机构能够追踪资金流向并实施精准打击。
业内人士认为,此举不仅是针对伊朗的金融制裁升级,也释放出一个信号:国家级主体使用加密货币规避制裁的空间正在被迅速压缩,未来相关执法将更加常态化。
ADT大规模数据泄露事件
美国智能家居与安防公司ADT近日确认,其云系统遭未授权访问,导致大量客户数据泄露。攻击被归因于臭名昭著的ShinyHunters勒索组织。
攻击者声称从其Salesforce数据库中窃取超过1000万条记录,并在勒索谈判失败后公开部分数据。第三方泄露数据库验证平台确认,约550万个唯一邮箱地址被泄露,同时还包括用户姓名、住址以及部分社会安全号码等敏感信息。
这一事件再次凸显云服务配置与第三方平台集成带来的安全风险。企业越来越依赖SaaS系统存储核心数据,但一旦访问控制或API权限管理存在漏洞,就可能成为攻击入口。
安全专家指出,类似攻击往往利用凭证泄露或权限滥用,而非传统漏洞利用。因此,加强身份认证、访问审计及最小权限原则,比单纯补丁管理更为关键。
微软全面淘汰旧版TLS协议
微软宣布将于2026年7月起,彻底停止Exchange Online中POP和IMAP协议对TLS 1.0和1.1的支持,强制所有客户端升级至TLS 1.2及以上版本。
TLS 1.0/1.1由于加密强度不足和已知漏洞,长期被安全界视为不安全协议,但在部分旧系统和设备中仍被广泛使用。微软此前曾提供过渡方案,但此次政策意味着所有依赖旧协议的系统必须完成升级,否则将无法正常通信。
这一举措反映出大型云服务提供商在推动安全标准升级中的关键作用。通过“强制淘汰”,可以在短时间内显著减少弱加密带来的攻击面,例如中间人攻击和数据窃听。
不过,企业在迁移过程中仍面临挑战,尤其是工业系统或老旧设备更新成本较高。专家建议提前进行资产梳理和兼容性测试,以避免业务中断。
NSA开源工具GRASSMARLIN存在严重漏洞
美国CISA发布警告称,由NSA开发的ICS网络映射工具GRASSMARLIN存在严重安全漏洞,可能被攻击者利用实施数据外泄。
该漏洞允许攻击者通过“带外通道”窃取敏感文件,并进一步在工业控制网络中横向移动。这类攻击方式隐蔽性强,难以通过传统监控手段检测。
更严重的是,该工具已于2017年停止维护,因此官方不会提供补丁。这意味着所有仍在使用该工具的组织必须自行采取防护措施,如隔离网络、限制访问权限或彻底替换。
这一事件反映出工业网络中的“遗留软件风险”。由于OT系统更新周期长,大量过时工具仍在关键基础设施中运行,成为潜在的高危攻击入口。
SOC绩效指标被批削弱安全能力
英国国家网络安全中心(NCSC)指出,当前广泛使用的安全运营中心(SOC)绩效指标存在严重问题,可能反而降低安全防护水平。
许多组织采用告警处理数量、响应时间等KPI来评估SOC表现,这种“量化导向”会促使分析人员快速关闭事件,而非深入调查潜在威胁。结果是高质量分析被牺牲,真正的攻击可能被忽略。
此外,大量误报本身已导致“告警疲劳”,不合理的指标体系进一步加剧这一问题,使安全团队对警报逐渐麻木。
NCSC建议企业将重点转向检测质量、威胁狩猎能力和分析深度,推动从“流程驱动”向“情报驱动”的转变。这一观点代表了当前SOC发展方向的重要调整。
Qinglong平台漏洞被用于挖矿攻击
安全公司Snyk披露,攻击者正在利用开源任务调度平台Qinglong中的多个漏洞部署加密货币挖矿程序。
这些漏洞(CVE-2026-3965、CVE-2026-4047)源于认证绕过问题,攻击者可通过URL重写和路径匹配机制差异实现未授权远程代码执行。一旦利用成功,攻击者即可在服务器上部署持久化挖矿程序。
受影响系统通常会出现CPU资源被大量占用,导致性能严重下降甚至服务不可用。由于Qinglong常被用于自动化任务管理,其被攻陷后还可能成为进一步攻击的跳板。
该事件再次说明,开源工具虽然便利,但其安全配置和更新同样关键。企业应及时应用补丁,并限制关键服务的公网暴露。
Deep#Door后门具备高级隐蔽与破坏能力
安全研究人员发现一种名为Deep#Door的新型后门程序,其基于Python开发,具备高度隐蔽性和多层持久化机制。
该恶意软件通过批处理脚本禁用系统安全机制,包括防病毒和日志功能,并在系统中植入持久组件。其能够执行远程命令、窃取凭证、监控用户行为(如键盘记录、截图、摄像头访问)等。
更危险的是,该后门不仅用于间谍活动,还具备破坏能力,例如覆盖主引导记录(MBR)或强制系统崩溃。其还采用多种反分析技术,避免在虚拟机或沙箱环境中暴露。
研究人员认为,该工具很可能用于高级持续性威胁(APT)行动,体现出攻击工具正在向“多功能、隐蔽化、长期控制”方向发展。
AI模型供应链风险推动Cisco发布新工具
Cisco发布开源“模型溯源工具包”(Model Provenance Kit),用于追踪AI模型来源并识别潜在风险。
随着企业大量使用来自Hugging Face等平台的第三方模型,模型来源、训练数据和安全性问题日益突出。攻击者可能通过“模型投毒”等方式植入后门,影响下游应用。
该工具通过生成模型“指纹”,帮助识别模型之间的血缘关系,从而追踪潜在风险来源。它还支持模型比对和扫描功能,可用于检测是否存在被篡改或继承漏洞的模型。
这一发展反映出AI供应链安全正成为新焦点,未来企业不仅需要保护代码,还需对模型本身进行安全管理。
AI推动攻击速度进入“分钟级时代”
安全行业观察指出,随着AI技术发展,漏洞利用时间已从数周缩短至数小时甚至数分钟,攻击进入“工业化”阶段。
以Anthropic发布的Claude Security为例,其目标是帮助防御方实现同等速度的漏洞检测与修复。该工具可自动扫描代码库、识别漏洞并生成修复建议,大幅缩短响应周期。
专家警告,未来攻击者也将利用类似AI工具实现自动化攻击,使传统依赖人工分析的防御体系难以应对。
因此,安全防御正从“人工驱动”转向“AI对抗AI”,企业需要构建自动化、持续化的安全体系,否则将难以跟上攻击节奏的变化。
错误指标驱动下的安全运营中心失效风险与能力误导问题解析
安全运营中心(SOC)的绩效指标选择不当,可能不仅无法提升安全能力,反而会直接削弱防御效果。该机构指出,许多组织投入大量资源建设SOC,但由于评估方式存在偏差,最终导致这些团队“看起来高效”,却在关键时刻无法有效检测和响应攻击 。
企业在设计指标体系时,往往倾向于选择那些容易量化、便于向管理层汇报的指标,例如处理的告警数量、关闭工单的速度、检测规则数量等。这些指标之所以流行,并非因为它们真正反映安全能力,而是因为它们“可度量、可展示”。然而,NCSC强调,这种做法本质上是用“可见性”替代“有效性”,容易掩盖真实的安全问题 。
更关键的问题在于,这些指标会产生明显的“错误激励”。例如,当“关闭工单时间”成为核心KPI时,分析人员可能倾向于快速将告警标记为误报,而不是深入调查其潜在威胁;当“处理数量”被强调时,团队可能更关注完成任务量,而忽视分析质量。长此以往,SOC将逐渐演变为一个“告警处理流水线”,而非真正的威胁分析与响应中心 。
类似地,NCSC还批评了“检测规则数量”这一常见指标。表面上看,规则越多似乎意味着检测能力越强,但实际上,这种指标会鼓励分析人员编写大量低质量规则,从而显著增加误报率。误报的激增不仅浪费资源,还会导致“告警疲劳”,使分析人员对警报逐渐麻木,反而更容易错过真正的攻击行为 。
在日志管理方面,也存在类似误区。一些组织以“日志采集量”为衡量标准,认为数据越多越安全,但NCSC指出,如果这些日志无法提升检测能力,那么它们不仅没有价值,还会增加分析复杂度和成本。这种“数据堆积式安全”并不能带来实质性的防御提升。
SOC唯一真正重要的指标,是是否能够及时检测并响应攻击。换言之,应关注“检测时间(TTD)”和“响应时间(TTR)”,而不是表面的工作量或处理速度。这两个指标直接反映了安全团队在真实攻击场景中的表现,是衡量SOC有效性的关键依据 。
为了更准确评估这些能力,NCSC建议采用红队或紫队演练,通过模拟真实攻击来测试SOC的检测与响应能力。这种方法能够避免“纸面指标”的误导,使组织真正了解自身防御体系的实际水平。此外,NCSC还建议将部分内部运营指标(如工单数量)用于内部健康监控,而不应作为对外报告或绩效考核依据,以避免对分析人员产生负面激励 。
在能力建设方面,NCSC强调,提升SOC效果并不依赖更多指标,而是依赖更好的基础能力,包括:对威胁环境的深入理解、对自身资产的清晰认知、对安全工具的熟练掌握,以及获取高质量数据并进行威胁狩猎的时间和空间。这些因素虽然难以量化,但却直接决定了SOC的实际防御能力。
总体来看,该博客反映出一个重要趋势:网络安全运营正在从“以指标为中心”转向“以结果为中心”。过度依赖简单KPI不仅无法提升安全水平,反而可能在无形中削弱组织对复杂攻击的应对能力。NCSC的核心观点可以概括为一句话——错误的指标,比没有指标更危险。
#
2025收集更新信通院白皮书系列合集(665个)下载
——等级保护
数据安全风险评估培训杂谈
打破“一考定终身”测评师迎来严峻挑战
欲等保定级先数据分类分级
2025公安部网安局等保工作最新要求逐条解析
公网安〔2025〕1846号文:风险隐患及工作方案释疑浅谈
公网安〔2025〕1846号文:数据摸底调查释疑浅谈
公网安〔2025〕1846号文:第五级网络系统释疑浅谈
公网安〔2025〕1846号文:定级备案的最新释疑浅谈
关于25年定级备案公安部网安局释疑的一点浅谈
公网安〔2025】1846号关于对网络安全等级保护有关工作事项进一步说明的函
新等保测评真的取消打分了吗?一点杂谈!
新定级备案模板明确数据安全纳入等级保护体系
等保定级新模板新要求,2025定级工作新变化
2025新形势下新等保备案如何开展
测评机构老板与销售注意:浅谈测评机构如何更好的满足属地网安监管?
网络安全等级保护:等级保护工作、分级保护工作、密码管理工作三者之间的关系
河南省新规定测评与密评预算再调低
四川省等级测评与商密评估预算计算方法
广西壮族自治区等级测评与商密评估预算为几何?
黑龙江财政关于等级测评与商密评估预算为几何?
和Deepseek一起共同探讨《国家信息化领导小组关于加强信息安全保障工作的意见》
和Deepseek一起共同探讨《关于信息安全等级保护工作的实施意见》
与Deepseek一起谈开展等级测评的必要性!
——数据安全
《网络数据安全管理条例》解读
跟着DAMA专家看数据管理的未来
市场监管总局印发《网络交易合规数据报送管理暂行办法》
数据安全知识:什么是数据安全?
网警提醒 | 3.31世界备份日:重视你的数据安全
网络和数据安全合规:15部门发布指导意见助力中小企业全面合规
数码复印机数据安全:企业指南
《数据安全法》中有关数据安全保护的法律义务
——错与罚
江苏涟水农村商业银违反网络安全与数据安全管理规定等被罚114.5万
网络安全无小事!某企业因疏于防护被依法查处
江苏灌南农商行因违反数据安全管理规定等被罚97.5万
网安企业“内鬼”监守自盗,窃取个人信息2.08亿条
郑州3家公司未履行网络安全保护义务被网信部门约谈
25年郑州新增两家公司违反《网络安全法》被市网信办行政处罚
驻马店市委网信办就网络安全问题依法约谈相关责任单位
两家银行因数据安全相关问题,被罚款
河北保定竞秀区委网信办依法约谈网站负责人
贵港市网信办公布2起网络安全违法违规典型案例
公安机关依法严厉打击侵犯公民个人信息犯罪,10起典型案例公布
重庆网信部门近期就企业违法违规情况开展多起约谈与处罚
新华社:中国电信、中国移动、中国联通,集体回应!
重庆网信部门就一企业系统遭境外组织攻击,开展联合公安约谈
——其他
浅谈网络“四法四条例四办法一意见”与山东数字政府建设改革方案
精彩回顾:祺印说信安2024之前
祺印说信安2024年一年回顾
网警提醒 | 3.31世界备份日:重视你的数据安全
网络安全知识:什么是技术债务?
网络安全知识:网络威胁情报解析
5月1日起,《国家秘密定密管理规定》正式施行
黑客攻击远程服务器十大弱口令
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:河南等级保护测评 铸盾安全 铸盾安全《国外:一周网络安全态势回顾之第148期,错误指标驱动下的安全运营中心失效风险与能力误导问题解析》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论